피해 예방하라는 안내만으로 끝내선 안돼...실질적 대책 마련 필요

[보안뉴스 김정완] 대검찰청은 검찰청 홈페이지를 도용한 피싱 사이트가 운영되고 있으니 이로 인한 피해가 없도록 주의를 당부했다. 불특정 다수에게 발송된 ‘검찰청 전자민원서비스(벌과금 납부 안내)’라는 제목의 이메일이 그 시발인데, 피해자 발생을 최소화하기 위한 안내는 필요하겠지만 지난 2008년 처음 발생해 2010년에 이어 올해에도 이러한 벌과금 납부독촉 이메일 사기가 똑같이 반복해 발생하고 있어 이에 대한 실질적인 대책 마련이 필요하다.

불특정 다수에게 발송된 ‘검찰청 전자민원서비스(벌과금 납부 안내)’라는 제목의 이 이메일을 열면 ‘전용뷰어설치 판결내용조회’ 창이 뜨면서 프로그램 설치를 유도하는데 이 창을 클릭하면 변조된 검찰청 홈페이지로 연결되게 된다.

이에 검찰은 홈페이지를 통해 이 같은 ‘인터넷을 통한 벌과금 납부독촉 피해 예방 안내’를 공지하며 신고하도록 요청하고 있다. 하지만 이는 2008년 1월 당시 피해 예방 안내와 크게 변화된 바 없이 똑같으며, 이는 내년에도 그대로 활용될 가능성이 높아 보인다.

매해 똑같은 벌과금 납부독촉 이메일 사기가 반복되고 있음에도 검찰은 피해 예방을 위해 홈페이지 공지를 통한 예방 안내를 똑같이 반복만 하고 있을 뿐이다. 검찰은 이러한 벌과금 납부독촉 이메일 사기가 지속적으로 왜 발생하고 있는지에 대해 파악하고, 그에 대한 근본적인 해결 방안을 마련해야 할 것이다.

이메일 제목에서처럼 ‘벌과금 납부독촉’이 이러한 사기 이메일을 발생하게 하는 원인임을 파악할 수 있다. 그렇다면 왜 이 ‘벌과금 납부독촉’이 사람들로 하여금 피싱에 낚이게 하는 사회공학적 기법으로 사용되고 있는 것일까?

국민의 대부분은 벌과금 납부가 검찰 홈페이지에서도 가능하다고 잘못 알고 있기 때문이다. 검찰은 지난 2009년 7월1일부터 벌과금을 금융기관을 통해서만 납부할 수 있도록 하는 ‘벌과금 직접수납 중단에 따른 업무처리 지침’을 마련해 당시 일선청에 시달한 바 있다. 즉 검찰은 2009년 7월1일부터 ‘벌과금 직접수납 중단’을 했다.

국민이 이 사실을 알고 있었다면? ‘벌과금 납부독촉’과 관련한 이러한 사기 이메일은 피싱에 이용되는 사회공학적 기법으로는 사용될 수 없었을 것이라 생각된다.

그런 점에서 검찰은 벌과금 직접수납 중단과 관련해 단순히 일선청에 시달한 것에 멈추지 않고, 이전 2008년 1월 당시 이러한 문제가 발생한 것을 본보기로 이를 국민에게 알리고 홍보하는데 최선을 다했어야 했다.

문제가 발생하고 나서 “검찰은 홈페이지 이용자에게 어떠한 경우에도 은행명, 계좌번호 등의 금융정보를 요구하지는 않으므로 유사한 메일이나 사이트를 주의하라”고 말하기보다 지속적으로 이를 알리는 작업을 해가야 할 것이다.

물론 ‘벌과금 납부독촉’ 소재가 피싱 소재에서 제외된다 하더라도 또다른 사회공학적 기법의 소재가 나올 것이다. 하지만 현재 일어나고 있고, 현재 진행 중인 문제를 간과하고 넘어가선 안된다. 보안사고는 보안위협의 누적에서 비롯되기 때문이다.

내년에도 또다시 이러한 피싱 이메일 사기가 발생한다면 검찰은 일말의 책임을 가져야 할 것이다. 보이는 보안위협을 간과하고 넘어감으로써 보안위협을 누적시킨 죄!

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>